Comprometimento do Bash Uploader do Codecov
O que é Comprometimento do Bash Uploader do Codecov?
Comprometimento do Bash Uploader do CodecovIncidente de cadeia de fornecimento em abril de 2021 em que atacantes modificaram o script Bash Uploader do Codecov, exfiltrando segredos de CI/CD de milhares de clientes.
Em abril de 2021, a empresa de cobertura de codigo Codecov revelou que, desde janeiro de 2021, o seu script Bash Uploader fora silenciosamente modificado por atacantes que exploraram uma falha no seu processo de criacao de imagens Docker. O uploader trojanizado enviava variaveis de ambiente, incluindo tokens, chaves e credenciais, dos pipelines CI/CD dos clientes para infraestrutura controlada pelos atacantes. O Codecov e utilizado por milhares de organizacoes, incluindo grandes fornecedores SaaS, fintech e de seguranca; as consequencias incluiram rotacao de segredos em HashiCorp, Twilio, Rapid7 e outras, alem de intrusoes derivadas. O incidente realcou os riscos de scripts CI opacos e impulsionou controlos como segredos efemeros e ferramentas CI assinadas.
● Exemplos
- 01
Uma startup descobre que chaves AWS expostas no CI foram exfiltradas e roda todas as credenciais tocadas pelo Codecov.
- 02
Um fornecedor migra de um uploader baseado em bash para uma action versionada e assinada apos a divulgacao.
● Perguntas frequentes
O que é Comprometimento do Bash Uploader do Codecov?
Incidente de cadeia de fornecimento em abril de 2021 em que atacantes modificaram o script Bash Uploader do Codecov, exfiltrando segredos de CI/CD de milhares de clientes. Pertence à categoria Vulnerabilidades da cibersegurança.
O que significa Comprometimento do Bash Uploader do Codecov?
Incidente de cadeia de fornecimento em abril de 2021 em que atacantes modificaram o script Bash Uploader do Codecov, exfiltrando segredos de CI/CD de milhares de clientes.
Como funciona Comprometimento do Bash Uploader do Codecov?
Em abril de 2021, a empresa de cobertura de codigo Codecov revelou que, desde janeiro de 2021, o seu script Bash Uploader fora silenciosamente modificado por atacantes que exploraram uma falha no seu processo de criacao de imagens Docker. O uploader trojanizado enviava variaveis de ambiente, incluindo tokens, chaves e credenciais, dos pipelines CI/CD dos clientes para infraestrutura controlada pelos atacantes. O Codecov e utilizado por milhares de organizacoes, incluindo grandes fornecedores SaaS, fintech e de seguranca; as consequencias incluiram rotacao de segredos em HashiCorp, Twilio, Rapid7 e outras, alem de intrusoes derivadas. O incidente realcou os riscos de scripts CI opacos e impulsionou controlos como segredos efemeros e ferramentas CI assinadas.
Como se defender contra Comprometimento do Bash Uploader do Codecov?
As defesas contra Comprometimento do Bash Uploader do Codecov costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Comprometimento do Bash Uploader do Codecov?
Nomes alternativos comuns: Ataque a cadeia de fornecimento do Codecov.
● Termos relacionados
- attacks№ 1116
Ataque à cadeia de fornecimento
Ataque que compromete um fornecedor de software, hardware ou serviços de confiança para alcançar os seus clientes a jusante.
- appsec№ 166
Segurança de CI/CD
Conjunto de controlos que protegem os pipelines de integração e entrega contínuas contra comprometimento, injeção de código, fuga de segredos e deploys não autorizados.